Implementando um sistema IDS – Nível Básico – v 1.

0

IDS

http://pplware.sapo.pt/wp-content/uploads/2009/09/snort1.jpg

Nível Básico

0 Índice Índice Apresentação O que é um IDS Entendendo melhor o funcionamento de um IDS Características de um IDS Vantagens de um IDS O que é uma intrusão Como detectar uma intrusão Estrutura do IDS Conhecendo o SNORT Instalando o SNORT Instalando o NMAP Visualizando os logs do SNORT Conclusão 2 3 4 4 5 5 6 6 7 10 11 12 13 14 .Implementando um sistema IDS – Nível Básico – v 1.

Implementando um sistema IDS – Nível Básico – v 1.br Dos direitos autorais Este material é o resultado de diversas fontes de pesquisa na internet e conhecimentos próprios. Montagem e adaptação: Eudson Fonseca – eudsonbit1@gmail.com . Esperamos que todos gostem e venham obter o máximo de conhecimento possível através deste material.com. Em caso de dúvidas. envie as mesmas para: eudson@4psolucoes.0 Apresentação Iniciamos aqui uma breve demonstração do funcionamento de um IDS. Esta apostila é de uso didático sem fins lucrativos. caso alguém veja conteúdo de sua autoria neste material e não teve seu nome citado favor informar em meu e-mail citado acima qual o conteúdo de sua autoria pois estarei providenciando os méritos neste material. A mesma pode ser distribuída gratuitamente desde que sejam mantidos sua integridade de conteúdo.

em resposta ao vírus ou bactéria. Caso haja a invasão de um vírus desconhecido pelo corpo. produzem e lançam na corrente sangüínea um tipo especial de proteína capaz de unir-se às moléculas que compõem este vírus ou bactéria. e assim inativando-o. o firewall não possui capacidade de analisar toda a extensão do protocolo. denomina-se anticorpo. O sistema também é caracterizado por possuir inteligência para aprender com o comportamento da rede e. por exemplo. e as substâncias estranhas. As imunidades são os padrões de ataques/assinaturas. Assim sendo. Apesar de se tratar de um conceito geralmente relacionado a proteção contra invasões. certos glóbulos brancos do sangue denominados linfócitos T. A Solução IDS é um conjunto de ferramentas que. são denominadas antígenos. FIREWALL É utilizado para evitar que o tráfego não autorizado possa fluir de uma rede para outra. Eles desempenham um importante papel na proteção do organismo contra substâncias estranhas. Quando um vírus ou bactéria. podemos dizer que os linfócitos T corresponde aos sistemas de firewalls. e é durante este período onde geralmente sentimos mal. então os linfócitos T se encarregarão de encontrar informações sobre esse novo vírus e criar uma vacina (anti-corpos) e eliminar este vírus. Entendendo melhor o funcionamento de um IDS Para facilitar o entendimento. . os ataques conhecidos previamente. como vírus e bactérias. Sistema de IDS O IDS. Sistema de defesa do corpo humano Os anticorpos constituem um mecanismo de defesa que o ser humano possui.0 O que é um IDS UM IDS é uma ferramenta utilizada para detectar e alertar o administrador sobre ataques e tentativas de acesso indevidos na rede corporativa. Este período de aprendizagem pode variar de acordo com o tráfego da rede. com isso. tem como um dos objetivos principais detectar se alguém está tentando entrar no seu sistema ou se algum usuário legitimo está fazendo mau uso do mesmo. aplicado ao Firewall proporciona o monitoramento do tráfego tanto de entrada quanto de saída das informações na rede. ou seja.Implementando um sistema IDS – Nível Básico – v 1. Quando isso acontece nosso corpo então torna-se imune aquele vírus ou bactéria e se caso este vírus vier a invadir novamente o corpo já exsitirão anti-corpos específicos para eliminá-los. vamos comparar um sistema IDS com o sistema de defesa do corpo humano. invade o corpo humano. ficando geralmente restrito ao nível 4 da camada OSI (Transporte). Esta ferramenta roda constantemente em background (geralmente é recomendável um servidor só para este fim) e somente gera uma notificação quando detecta alguma coisa que seja suspeita ou ilegal. identificar novos padrões ou mutação dos padrões existentes. que sabem qual o tráfego pertecem a rede de acordo com a configuração da política de rede . A proteína que o indivíduo produz.

0 Características de um IDS Algumas características de um IDS são: O gerenciamento centralizado. quando algum ataque (antígeno) for detectado pelo sistema. Portas e protocolos de acesso utilizados na tentativa de invasão. Yahoo Messenger. Acesso interno de sua rede a servidores IRC. Softwares e Backdoors os quais o invasor tentou utilizar. mas não deve ser uma caixa preta. Ter o mínimo de impacto no funcionamento do sistema. as quais possibilitarão ao administrador da rede. Partindo daí. Ser difícil de ser enganado. ICQ. Quando uma intrusão real acontece e a ferramenta permite que ela passe como se fosse uma ação legítima. SERVIÇOS São serviços de rede em geral. Deve monitorar a si próprio de forma a garantir sua segurança. Ativação de alertas nas estações de gerência via SNMP. Qual a origem dos ataques. como web. Vantagens de um IDS Através de um IDS podemos monitorar: Quais serviços estão sendo atacados. BACKDOOR (Porta dos fundos) É um programa de código fonte mal-intencionado que descobre e utiliza uma ou mais falhas de segurança para ter acesso ao sistema operacional. ou desligado inesperadamente. como no caso de uma nova aplicação que comece a fazer parte do sistema. firewall. e-mail. Cobrir as mudanças do sistema durante o tempo. Reconfiguração de elementos de rede como firewall e roteadores. Poder detectar mudanças no funcionamento normal. MSN. proxy. Características de um IDS bem configurado Deve rodar continuamente sem interação humana e deve ser seguro o suficiente de forma a permitir sua operação em background. e até mesmo o encerramento da conexão através do envio de pacotes de reset (flag RST do TCP) para a máquina atacante e para a máquina atacada. A possibilidade de construir uma base de conhecimento centralizada de forma a permitir uma visão ampla do nível de segurança da rede e o conhecimento das ameaças existentes. gera uma "porta dos fundos" que pode ser inadvertidamente utilizada por terceiros para possíveis invasões. Desta forma. manter-se sempre bem informado e prevenido. etc. Ocorrências adversas em geral. quando na verdade trata-se de uma ação legítima. Envio de mensagem via pager. por exemplo: Quando a ferramenta classifica uma ação como uma possível intrusão. com o objetivo de descarregar a pilha TCP.Implementando um sistema IDS – Nível Básico – v 1. Cada sistema possui padrões diferentes e a ferramenta de IDS deve ser adaptada de forma fácil aos diversos padrões. Sua base de conhecimento não deve ser perdida quando o sistema for reinicializado. Possibilidade de interação com outros elementos de rede como firewall. Além de muitas Outras informações. . torna-se possível ações de conta-ataque (anticorpos) que podem ser: Envio de e-mail para o administrador. roteadores e consoles de gerência.

na maior parte do tempo. Número de conexões. ou seja. é inútil tentar entender uma intrusão. . como utilização da CPU. Entre outros. confidencialidade ou disponibilidade dos dados e/ou do sistema. Uso de memória. de IDS realizam suas operações a partir da análise de padrões do sistema operacional e da rede tais como: Utilização de CPU.uma tentativa externa ou interna. Como detectar uma intrusão Muitas ferramentas. a exploração das vulnerabilidades de um sistema envolve a utilização indevida/anormal do sistema. número de processos por usuário entre outros. já é tarde demais. ou. número de conexões por minuto. pois afinal: Quem poderia melhor conhecer a topologia da rede? Quem sabe onde os dados sensíveis estão armazenados e quais são os recursos de segurança disponíveis? Levando-se em consideração o fato de que a maioria dos mecanismos de segurança são implementados com o objetivo de proteger a instituição dos ataques externos. Muitos podem pensar que uma instituição está sujeita. estudos revelam que a maior porcentagem de ataques tem origem dentro da própria instituição (intrusos internos).Implementando um sistema IDS – Nível Básico – v 1. Volume de dados trafegando no segmento de rede. podem ser descobertas violações de segurança a partir de padrões que fogem os padrões do uso do sistema. a tentativas de invasão externas. Por exemplo. então. Com estas informações a ferramenta de IDS pode identificar as tentativas de intrusão e até mesmo registrar a técnica utilizada. Faz-se necessário.“ Uma intrusão pode ser apurada a partir de parâmetros do sistema. Um sistema de IDS eficiente deve detectar os dois tipos de ataques. Estes dados formam uma base de informação sobre a utilização do sistema em vários momentos do tempo. Número de tentativas de login.0 O que é uma intrusão Todas as intrusões estão definidas na política de segurança. muitos ataques ocorrem e muitas vezes não são notados. I/O de disco. um mecanismo que detecte os dois tipos de ataque . então. O perigo pode estar “dentro de casa”. Enquanto não for definido o que é permitido e o que não é permitido no sistema. quando o são. No entanto. Atividades dos usuários. outras já possuem bases com padrões de ataque previamente montadas permitindo também a configuração dos valores das bases bem como inclusão de novos parâmetros. Uma variação significativa nestes padrões pode ser um indício de intrusão. ataques originados de fora da instituição. Uma intrusão pode ser definida como: "Qualquer conjunto de ações que tentem comprometer a integridade. geralmente da Internet.

edu.tyict.Implementando um sistema IDS – Nível Básico – v 1. temos outro IDS monitorando o tráfego da rede.0 Estrutura de um IDS Neste exemplo. após o firewall. temos um servidor IDS monitorando o tráfego direto na internet. http://ictlab. e.hk/~tsangkt/reference/Silicon%20Defense%20-%20the%20cyber-war%20defense%20company_files/ids.gif .vtc.

http://www.jpg .windowsecurity.0 Neste outro exemplo.com/img/upl/Miejsce_IDS_Rys41034592917071. temos servidores IDS monitorando o tráfego vindo da internet e o tráfego interno.Implementando um sistema IDS – Nível Básico – v 1.

.0 Para este exemplo.Implementando um sistema IDS – Nível Básico – v 1. o servidor IDS monitorando o tráfego da rede interna e externa.

Uma característica relevante é a capacidade de gerar alertas em tempo real. como os vários sabores de Linux (RedHat. para o WinPopup messages em máquinas Windows clientes. onde pode detectar uma grande variedade do tráfego suspeito.0 Conhecendo o SNORT O Snort é um software livre de detecção de intrusão para rede (NIDS). Neste sistema utiliza-se.) E também no Unix: OpenBSD. Fontes: Wikipedia. com auxílio do SAMBA (smbclient). Tru64. Slackware. capaz de desenvolver análise de tráfego em tempo real e registro de pacote em redes IP. busca/associa padrões de conteúdo e pode ser usado para detectar uma variedade de ataques. FreeBSD. Debian. HP-UX. stealth port scans. NetBSD. Executa análise de protocolo. fornece argumento para as decisões dos administradores. SMB probes. Por ser uma ferramenta peso leve. é um sistema peso leve de detecção de intrusão para rede. assim como ataques externos e então. Mandrake. para arquivo. para socket UNIX ou. tais como buffer overflows. assim como um engenho de detecção que utiliza uma arquitetura plug-in modular. entre outras. desenvolvido por Martin Roesch. Solaris. UFSC . busca/associa padrões de conteúdo e pode ser usado para detectar uma variedade de ataques. MacOS X. Executa análise de protocolo. capaz de desenvolver análise de tráfego em tempo real e registro de pacote em redes IP. etc. AIX. uma linguagem de regras flexível para indicar o tráfego que será coletado ou passará.Implementando um sistema IDS – Nível Básico – v 1. O Snort. SunOS. ataques CGI. a utilização do Snort é indicada para monitorar redes TCP/IP pequenas. que incorpora mecanismos de alerta para o syslog. IRIX. OS fingerprinting. Esta ferramenta é suportada em arquiteturas RISC e CISC e em plataformas das mais diversas.

conf O comando abaixo acessa o arquivo para configuração: vi /etc/snort.net/packages/Slackware-10.linuxpackages.Implementando um sistema IDS – Nível Básico – v 1.conf Após o snort ter sido configurado a rede em que ele atuará e o DNS.0 Instalando o SNORT Primeiramente devemos baixar e instalar o pacote do snort.2/Daemon/snort/snort-2.4 para Slackware. devemos iniciar o mesmo com o seguinte comando: snort –D * A opção “–D” indica que o snort rodará em background. o link abaixo leva direto ao download da versão 2. o arquiivo de configuração do mesmo encontra-se em /etc e se chama snort. .4. a figura abaixo mostra o comando de instalação: http://www2.4-i4861stb.tgz O próximo passo será a configuração do snort.

estas bibliotecas também estão presentes no site citado. entrar no seguinte site: Neste site você encontrará as versões para Linux e para Windows. Vamos fazer um teste usando um scanner de portas muito conhecido chamado nmap. que é um escaneador de hosts que usa recursos avançados para verificar o estado do seu alvo. quais serviços estão oferecendo. qual sistema operacional está rodando. embora trabalhe melhor com hosts únicos. A ferramenta é gratuita e encontrada nas versões Linux. para um scan básico basta acessar a pasta onde ele está armazenado e digitar o seguinte comando: nmap –O <ip_do_alvo> Desta maneira ele irá escanear o servidor alvo mostrando as portas abertas e a versão do sistema operacional que roda no mesmo (-O).NT. sendo que a versão do Windows exige a instalação de alguma bibliotecas. e uma dúzia de outras características. FreeBSD e OpenBSD. Mac OS. Solaris. Para usar o nmap tanto em Windows quanto em linux os comandos praticamente são os mesmos. bastando realizar também o download do aplicativo WinPcap. qual tipo de pacote de filtro / firewall estão usando. basta http://www.98. Windows(95.insecure.0 Instalando o NMAP Logo depois do snort estar rodando qualquer tentativa de intrusão será detectado pelo mesmo e armazenado em um arquivo de log. Este software foi desenvolvido para scanear redes extensas rapidamente. Para obter o Nmap. 2K e XP).html. Me. no windows. .Implementando um sistema IDS – Nível Básico – v 1. O nmap é capaz de determinar quais hosts estão disponíveis na rede.org/nmap/nmap_download.

0 Visualizando os logs do SNORT .Implementando um sistema IDS – Nível Básico – v 1.

porém não se esqueça que o conteúdo proposto aqui é só o início. nós da equipe da 4P Soluções estamos muito honrados em lhe repassar um pouco do que sabemos. os resultados vem do esforço e dedicação de cada um. Porém quem quer consegue.com. sabemos que não é fácil e a caminhada é longa. Com os conhecimentos adquiridos aqui você já estará apto a iniciar suas implementações de servidores IDS. . e esperamos que com esse pouco você possa fazer muito.br Muito obrigado. reclamação ou sugestão para eudson@4psolucoes. principalmente On-Line são os próprios alunos que fazem a diferença. envie-nos sua opinião. há muito o que estudar e aprender ainda.Implementando um sistema IDS – Nível Básico – v 1. mas a recompensa é garantida. Eudson Fonseca. Ajude-nos a manter nosso mini-curso sempre com uma boa qualidade de aprendizado.0 Conclusão Como qualquer outro curso.

Sign up to vote on this title
UsefulNot useful